Governo dos EUA alerta sobre bug grave do CopyFail que afeta versões principais do Linux

Uma grave vulnerabilidade de segurança que afeta quase todas as versões do sistema operacional Linux pegou os defensores desprevenidos e lutando para corrigir depois que pesquisadores de segurança divulgaram publicamente um código de exploração que permite que os invasores assumam o controle total dos sistemas vulneráveis.

O governo dos EUA diz que o bug, apelidado de “CopyFail”, agora está sendo explorado na naturezao que significa que está sendo usado ativamente em campanhas de hackers maliciosas.

O inseto, oficialmente rastreado como CVE-2026-31431 e descoberto nas versões 7.0 e anteriores do kernel Linux, foi divulgado à equipe de segurança do kernel Linux no final de março e corrigido após cerca de uma semana. Mas os patches ainda não chegaram totalmente às muitas distribuições Linux que dependem do kernel vulnerável, deixando qualquer sistema que execute uma versão afetada do Linux em risco de comprometimento.

O Linux é amplamente utilizado em ambientes empresariais, executando os computadores que operam grande parte dos datacenters do mundo.

O site CopyFail diz que o mesmo script Python curto “enraíza todas as distribuições Linux lançadas desde 2017”. De acordo com a empresa de segurança Theori, que descobriu CopyFaila vulnerabilidade foi verificada em várias versões amplamente utilizadas do Linux, incluindo Red Hat Enterprise Linux 10.1, Ubuntu 24.04 (LTS), Amazon Linux 2023, bem como SUSE 16.

O engenheiro e desenvolvedor Devops Jorijn Schrijvershof escreveu em uma postagem de blog que a exploração funciona nas versões Debian e Fedora, bem como no Kubernetes, que depende do kernel Linux. Schrijvershof descreveu o bug como tendo um “raio de explosão incomumente grande”, pois funciona em “quase todas as distribuições modernas” do Linux.

O bug é chamado CopyFail porque o componente afetado no Linux núcleoo núcleo do sistema operacional que tem acesso praticamente completo a todo o dispositivo, não copia determinados dados quando deveria. Isso corrompe dados confidenciais dentro do kernel, permitindo que o invasor aproveite o acesso do kernel ao resto do sistema, incluindo seus dados.

Se explorado, o bug é particularmente problemático porque permite que um usuário regular com acesso limitado obtenha acesso total de administrador em um sistema Linux afetado. Um comprometimento bem-sucedido de um servidor em um datacenter pode permitir que um invasor obtenha acesso a todos os aplicativos, servidores e bancos de dados de vários clientes corporativos e, potencialmente, obtenha acesso a outros sistemas na mesma rede ou datacenter.

O bug CopyFail não pode ser explorado na Internet por si só, mas pode ser transformado em arma se usado em conjunto com uma exploração que funcione na Internet. Por Microsoftse o bug CopyFail estiver encadeado com outra vulnerabilidade que possa ser transmitida pela Internet, um invasor poderá usar a falha para obter acesso root a um servidor afetado. Um usuário que opera um computador Linux com um kernel vulnerável também pode ser induzido a abrir um link ou anexo malicioso que acione a vulnerabilidade.

O bug também pode ser injetado por meio de ataques à cadeia de suprimentos, nos quais atores mal-intencionados invadem a conta de um desenvolvedor de código aberto e plantam o malware em seu código, a fim de comprometer um grande número de dispositivos de uma só vez.

Dado o risco para a rede empresarial federal, a agência de segurança cibernética dos EUA, CISA, encomendado todas as agências federais civis para corrigir quaisquer sistemas afetados até 15 de maio.